[情報] 在公共場所用電腦幫iPhone充電可能導致個資外洩

作者: TeacherLin (林老師)   2018-04-21 22:43:07
https://www.ithome.com.tw/news/122560
文/李建興 | 2018-04-20發表
賽門鐵克在RSA會議上面揭露,iOS裝置存在Trustjacking漏洞,駭客能誤導使用者信任惡
意電腦,授予駭客iOS裝置的控制權,而駭客之後便能以iTunes Wi-Fi同步功能,持續的
遠端控制該裝置。目前Apple已經採取輸入密碼再驗證的方式減緩Trustjacking攻擊,但
是除非使用者自己提高警覺,否則仍有被攻擊的可能。
賽門鐵克現代作業系統資深安全副總裁Adi Sharabani和現代作業系統研究小組負責人
Roy Iarchy於4月18日在舊金山舉行的RSA安全大會上發表演講,揭露利用iTunes Wi-Fi同
步功能的Trustjacking攻擊。
Roy Iarchy提到,過去這類型的攻擊,都在討論未授權的USB連接,以獲取行動裝置敏感
資料的方法,但是現在揭露的Trustjacking攻擊只需要一次性的實體連結,後續透過遠端
連線就能達到相同目的,而且影響更為長久。
iTunes Wi-Fi同步功能允許iOS裝置與iTunes透過Wi-Fi連線進行同步。要啟用iTunes
Wi-Fi功能之前,需要先透過USB線連結電腦以及iOS裝置,第一次連接時,iOS裝置會彈出
選項,詢問使用者是否信任該電腦,在使用者點選信任後,電腦便能透過標準iTunes API
和iOS裝置進行溝通,而且即便使用者中斷iOS裝置與電腦的連線,背景的連線仍會持續進
行。
一旦使用者同意信任該電腦,電腦便能存取iOS裝置上的照片、執行備份、安裝應用程式
,當然也包含啟用iTunes Wi-Fi,而這些工作都不需要iOS裝置額外確認,因為Apple預設
相信操作者為iOS裝置擁有人。
駭客利用Trustjacking漏洞,可以輕鬆的透過網路反覆請求iOS裝置的螢幕結圖,便能持
續獲得使用者的敏感資訊,而且沒有其他有效的機制可以終止惡意電腦的連線。
整個過程看似繁雜,駭客不只需要使用者將iOS裝置連接到iTunes,而且還要啟用iTunes
Wi-Fi同步功能。Roy Iarchy說:「想像一下,當你在機場的時候,這一切都會變的合理
,彈出信任訊息你會以為要對充電行為收費,會自然以為是合法的服務」使用者一旦信任
該惡意電腦後,其他程序惡意程式可以自動執行。
Apple對此漏洞暫時採取再驗證的機制,當iOS裝置要信任該電腦時,需要重新輸入密碼以
確保為使用者本人的操作。但是Roy Iarchy表示,這個機制並不會完全解決Trustjacking
攻擊,而且把驗證工作完全交給使用者,一旦使用者選擇信任惡意的電腦,那攻擊仍會發
生。
作者: pm2001 (做個盾牌眼球兵吧)   2018-04-21 22:48:00
你知道一堆板子支援快充的嗎?
作者: sportsyzm   2018-04-21 23:12:00
安卓外洩習慣了 沒差
作者: horseorange (橘小馬)   2018-04-21 23:38:00
公共場所的充電孔外面看不出來他裡面接了什麼
作者: abelyi100 (abelyi100)   2018-04-22 00:48:00
喂喂Android也是需要使用者同意才能存取的。系統每次都會自動問你是只要充電還是要傳檔案,不要亂黑==
作者: homelife (SKY)   2018-04-22 04:16:00
這篇怎麼能扯到Android...
作者: VIGUTA (黃道第十四宮-魯蛇座)   2018-04-22 07:36:00
安卓一堆洞 沒差你這一個
作者: fiiox3 (飆速宅男)   2018-04-22 09:36:00
我還以為我來錯版,卓三版?
作者: aswq17558 (我尬易開小號)   2018-04-22 11:15:00
一堆無腦粉無腦黑 搞到最後理性思考能力都消失了 煩死
作者: Killercat (殺人貓™)   2018-04-22 13:35:00
這功能早就有了三百年了啊....
作者: hk200556 (鉤子)   2018-04-22 16:32:00
安卓救援中
作者: likeus (Brand)   2018-04-23 08:05:00
前幾樓真的很可笑 直接自我放棄 要台灣人重視資安很難嗎?

Links booklink

Contact Us: admin [ a t ] ucptt.com